Свежие посты   По годам   По датам
  • 05 Июня 2012 » (Опрос) (Перевод) Обзор событий информационной безопасности от Fortinet
    Сегодня вместо перевода очередного обзора событий информационной безопасности от компании Fortinet будет опрос, он размещён в правой колонке блога. Получив отличную практику по переводу английского текста с техническими терминами, вынужден всё же признать, что с точки зрения смысловой нагрузки посты были недостаточно наполнены. Отличная подборка важных событий за прошлую неделю - но не более. Вдумчивое чтение (а иначе ведь и не переведёшь =) ) всё же не выявило в блоге компании Fortinet никаких попыток анализировать события, ну или хотя бы как-то их комментировать: констатация фактов и только... С другой стороны, вполне допускаю, что кому-то такие переводы были полезны и просто так бросить начатое 7 недель назад единолично всё же не решаюсь. Поэтому вопрос к вам, дорогие читатели, была ли польза от этих переводов? Голосуйте, пожалуйста. Изображение: http://demotivators.to/media/posters/2334/601955_razminka-dlya-shei.jpg

  • 31 Мая 2012 » (Перевод) Обзор событий информационной безопасности от Fortinet (21/2012)
    Продолжая не любить слово «вредонос», но не придумав ему нравящейся альтернативы, продолжаю публикацию переводов еженедельного обзора событий информационной безопасности от компании Fortinet. Боеспособность сил киберпреступного мира была немного подорвана на прошлой неделе серией арестов, охвативших аудиторию от злоумышленников высокого уровня квалификации до начинающих хакеров, а исследователи, возможно, нашли способ борьбы с уязвимостью протокола SSL, из-за которой в прошлом году пострадали некоторые удостоверяющие центры (CA). Представляем обзор 21й недели 2012 года. Вредонос для Facebook вышел на охоту. В свете недавнего выхода на IPO крупнейшей социальной сети вполне не удивителен всплеск активности соответствующего вредоносного программного обеспечения, одна из версий которого теперь распространяется, невинно предлагая пользователям отказаться от использования своего аккаунта. Ведя себе вполне типично для фишинговых атак, новый вредонос для Facebook заманивает пользователей сообщением с ссылкой, по которой им предлагается перейти, чтобы якобы удалить свою учётную запись или подтвердить желание продолжать использовать социальную сеть. На самом деле ссылка в сообщении перенаправляет пользователя на вредоносный Java-апплет, который начинает надоедать сообщениями, требуя разрешить свой запуск, после чего выводит предупреждение об устаревании версии Adobe Flash и предлагает установить фиктивное обновление для него. После «обновления» вместе с мнимым чувством собственной защищённости пользователь получает на своей системе бэкдор, предоставляющий злоумышленнику полный удалённый доступ к компьютеру. Google снова патчит Chrome. Поисковый гигант Google в очередной раз повысил безопасность своего браузера Chrome, исправив 13 уязвимостей, две из которых считались критическими. В частности, одно из обновлений с самым высоким рейтингом критичности исправляет ошибку в работе браузера с кэшем, другие же решают проблемы неправильной работы с памятью при использовании WebSocket в протоколе SSL. Второе комплексное обновление Google на неделе включало в себя в общей сложности исправление девяти уязвимостей с рейтингом уровня опасности «высокий», на которые администраторам рекомендуется обратить внимание и присвоить высокий приоритет в очерёдности установки обновлений. Данные обновления исправили некоторые ошибки в плагине JavaScript, различных вариантах обработки PDF и некоторых других сценариях работы браузера. В последней версии Chrome также исправлены две уязвимости с рейтингом опасности «ниже среднего». Предложено решение проблемы «подмены сертификатов». На прошлой неделе исследователи Moxie Marlinspike и Trevor Perrin нашли способ противодействия атаке на протокол SSL, основанной на подмене цифровых сертификатов, предложив сайтам подписывать открытые ключи TLS-серверов (Transport Layer Security) с помощью ключей Trust Assertions for Certificate Keys (или TACK). Как правило клиент TLS проверяет открытый ключ сервера TLS с помощью цепочки сертификатов, выданных публичным удостоверяющим центром. Данный процесс, по сути, позволяет подключающемуся клиенту проверить открытый ключ сервера и «увязать» TLS-соединение с конкретным TLS-хостом. Однако в ходе проверки цепочки сертификатов могут возникнуть проблемы с теми TLS-серверами, для которых одновременно имеются несколько различных действующих цепочек сертификатов, которые к тому же могут в любой момент изменяться. Подписание открытого ключа TLS-сервера ключами TACK позволяет клиентам надежно «увязывать» имя хоста с ключом TACK, одновременно избавляя от сложностей, возникающих при использовании нескольких альтернативных цепочек сертификатов. Данные исследования были инициированы по причине серии атак на удостоверяющие центры, состоявшейся в прошлом году, когда даже такие известные компании как Google, Adobe и Microsoft были вынуждены отозвать сотни скомпрометированных сертификатов, выданных голландским удостоверяющим центром DigiNotar, взломанном в начале прошлого года. Данный взлом позволил злоумышленникам создавать поддельные удостоверяющие центры и с успехом применять атаки «человек посередине» против ничего неподозревающих пользователей. Инцидент в конечном итоге привёл к объявлению DigiNotar себя банкротом. Автор Bredolab отправлен в тюрьму. Арестованный на прошлой неделе в Армении создатель ботнета Bredolab в ближайшие четыре года вероятнее всего будет находиться в заключении. Автором ботнета оказался 27-летний гражданин России Георгий Аванесов, чей доход от незаконной кибердеятельности по оценкам составлял около $125 000 в год. Заразивший около 30 миллионов компьютеров по всему миру ботнет Bredolab известен своей причастностью к многочисленным атакам типа «отказ в обслуживании» (DDoS), мошенничествам с распространением поддельных антивирусов и огромному количеству разосланного спама. Ботнет расширялся за счёт инфицирования легитимных сайтов вредоносным кодом, использующим широкий спектр уязвимостей в браузерах для заражения компьютеров пользователей в фоновом «тихом» режиме. Ботнет также обманом завлекал пользователей на заражённые сайты фишинговыми сообщениями по электронной почте, в Facebook, Skype и Amazon. Мэр и его сын арестованы за хакерство. Мэр небольшого города Нью-Джерси (США) и его сын были арестованы по обвинению во взломе web-сайта оппонента, сообщает New York Times. Данное событие «расстроило» некоторых федеральных чиновников, посетовавших на то, что свои усилия мэру следовало бы направить против международных киберпреступников. Мэр города на западе штата Нью-Йорк 55-летний Феликс Роке и его 22-летний сын Иосиф были обвинены в совершении атаки на сайт recalroque.com, посвящённый критике деятельности мэра. Предполагается, что ими был осуществлён несанкционирован

  • 30 Мая 2012 » Сертифицированные межсетевые экраны (часть 4)
    Продолжая обзор сертифицированных межсетевых экранов, мы всё ближе подходим к концу реестра ФСТЭК, а это означает, что актуальных решений будет становиться всё больше. Итак, в четвертой части обзора (все части) вашему вниманию предлагаются: ЗАСТАВА, Континент, Атликс-VPN, ESET NOD32 Firewall и Altell NEO. Открывает сегодняшний парад сертифицированных средств межсетевого экранирования разработка компании Элвис-Плюс – семейство продуктов ЗАСТАВА. Свою историю ЗАСТАВА ведёт аж с 1997 года, что вообще-то могло бы предполагать высокое качество и проработанность продукта, но так как это российское сертифицированное программное обеспечение, обычная (без сертификатов) версия которого даже и не поставляется, то ситуация немного иная. Взять, к примеру, ту же Cisco: несертифицированные версии вполне себе продаются, а вот ЗАСТАВЫ, как, кстати, и многих других продуктов этого обзора, без голограммы ФСТЭК в продаже найти не удастся. Вообще, компаний, продающих ЗАСТАВУ совсем немного, что по моему субъективному мнению может означать практическую сложность внедрения и низкую степень распространённости ЗАСТАВЫ. Действительно, при комплексном внедрении ЗАСТАВЫ потребуется приобрести не только дополнительные сервера, но и сторонние продукты, такие как лицензии КриптоПро, электронные замки (Соболь/Аккорд), а то и вовсе полноценный удостоверяющий центр (УЦ КриптоПро). Обилие сертификатов (6 штук) на различные варианты ЗАСТАВ простоты в конфигурации решения тоже не добавляет. В общем, посоветуйтесь со своим интегратором, прежде чем принимать решение о покупке. Следующий в списке – АПКШ «Континент». Опять-таки российский, не имеющий несертифицированного исполнения, но хотя бы с внятным модельным рядом и единым сертификатом (№1905 от 10.09.2009). Небольшая путаница только с клиентом для рабочих мест – Континент-АП, для которого действуют три разных сертификата. Важно отметить, что этот абонентский пункт (АП) как самостоятельное решение применяться не может – обязательно потребуется аппаратно-программный Континент, так что его использование в качестве персонального МЭ затруднительно. Кстати, и сам АПКШ «Континент» достаточно редко используется именно как межсетевой экран по причине высокой цены. Его удел – это всё же построение распределённых защищённых сетей с шифрованием по ГОСТ, благо соответствующие сертификаты ФСБ имеются. Вообще, с АПКШ «Континент» знаком очень хорошо, но при этом особо ничего плохого, кроме разве что пары забавных баек, про него сказать не могу: из всех аналогичных отечественных изделий он, пожалуй, один из лучших. Ну, устарел, конечно, и функционально от современного оборудования отстаёт, зато сертификаты высокого уровня, а в новой версии 3.6, глядишь, год-другой отставания и сократят. Редкий гость новостных сайтов Атликс-VPN разработки ФГУП «НТЦ «Атлас» формально имеет сертификат как межсетевой экран, но является пришельцем с другого сегмента рынка: средства для создания высокозащищённых виртуальных частных сетей с использованием российских криптографических алгоритмов. Приведу лишь несколько любопытных моментов с сайта продукта и пойдём дальше. Аналоги: неизвестны. Базовая цена: от 231 044 руб. (интересно, кстати, откуда 44 рубля взялись?) Время на изготовление: до 2-х месяцев Формально ещё действующий сертификат на следующий межсетевой экран ESET NOD32 Firewall, похоже, продлеваться не будет, так как даже описания такого продукта на сайте разработчика найти не удалось, а как славно всё начиналось в 2008 году. Далее идёт Altell NEO версии 1.0 с достаточно слабым сертификатом МЭ4 и без НДВ, что для российских разработок вообще говоря не очень характерно. Ситуация была исправлена буквально в этом месяце и на новую версию Altell NEO версии 1.5 получены сертификаты МЭ3 и НДВ3. Что касается самого продукта и его функционала, то после прошлогоднего поста к изучению данного изделия не возвращался, а коллеги из АльтЭль всё так же предлагают звонить… Все сертифицированные межсетевые экраны из этой части обзора внесены в таблицу. Продолжение следует…

  • 24 Мая 2012 » (Перевод) Обзор событий информационной безопасности от Fortinet (20/2012)
    Предстоящее изменение записей в моей трудовой книжке немного отвлекло меня от ведения блога, поэтому с небольшой задержкой, но всё же представляю вашему вниманию очередной перевод обзора от компании Fortinet. Атаки на отказ в обслуживании, видимо, можно назвать основным трендом прошлой двадцатой недели 2012 года, хотя, как ни странно, далеко не для всех из них можно указать конкретные мировые хакерские группировки, являющиеся их организаторами. Помимо этого, технологические гиганты Apple и Google сделали важный вклад в безопасность, выпустив целый набор обновлений, а «первый киберцарь» США сообщил, что покидает государственную службу. Представляем основные события за период 14-18 мая. Apple закрывает уязвимости серией обновлений. Всю прошлую неделю компания Apple была занята «латанием дыр», начав с исправления недостатков в старой версии своей операционной системы Leopard (Mac OS X 10.5), повышая её защищённость от пресловутого Flashback Trojan. Выпущенное обновление удаляет наиболее распространённые варианты вредоносного Flashback Trojan в ОС Leopard и отключает Java-плагин по умолчанию в web-браузере Safari. Другое обновление, также представленное Apple на прошлой неделе, отключает устаревшие версии проигрывателя Adobe Flash Player, а затем направляет пользователей на сайте Adobe для скачивания его свежей версии. Позднее на этой неделе Apple ещё больше повысила защищённость, выпустив патч для QuickTime, исправляющий в общей сложности 17 различных уязвимостей, многие из которых позволяли злоумышленникам удалённо атаковать компьютеры пользователей и красть их данные или выполнять атаки типа «отказ в обслуживании». Типичная атака, использующая описываемые уязвимости, начиналась с отправки мультимедийного файла Quicktime и обманного принуждения пользователя к его открытию методом социальной инженерии. Оновление Quicktime до версии 7.7.2 исправляет уязвимости в Windows 7, Vista, Windows XP SP2 и более поздних версий. «Анонимусы» открыли огонь на DDoS-поражение индийского правительства. Глобальная группа хакеров Anonymous направила своё кибервооружение против Верховного суда Индии, организовав атаку типа “отказ в обслуживании” в знак протеста против решения правительства о блокировании некоторых сайтов для обмена видео и торрентами. Помимо сайта Верховного Суда были атакованы также web-сайты Департамента телекоммуникаций, Министерства по информационным технологиям и двух партий: Индийской народной партии и Индийского национального конгресса. «Мы никак не повреждаем сами web-сайты. Мы просто хотим, чтобы сайты для обмена файлами были разблокированы», - говорится в микроблоге Twitter Анонимусов. Ближе к концу недели группа хакеров продолжила атаки во второй по численности стране мира, вызывая сбои «отказ в обслуживании» сайтов президента и индийского подразделения CERT. Анонимусы похоже также планировали совершить нападения на кинокомпанию Reliance Big Entertainment и сайт индийского правительства india.gov.in. В настоящее время все периодические уходившие «на профилактические работы» на прошлой неделе сайты полностью восстановлены и функциональны. Google исправляет множественные ошибки. Компания Google с выпуском 19 версии браузера Chrome исправила более 20 уязвимостей в его системе безопасности, восемь из которых получили рейтинг «высокий риск». Большинство уязвимостей были выявлены и исправлены в очередном обновлении, в частности, благодаря программе поощрения, в рамках которой эксперты и исследователи получают награды за обнаруженные ошибки, отправленные в компанию. В списке исправленных недостатков были и связанные с ошибками переполнения при обработке OGG и PDF, степень риска которых была признана высокой из-за открывающихся возможностей по их дальнейшему использованию для киберзлоумышленников. Чума DDoS поразила Pirate Bay и WikiLeaks. Два наиболее одиозных сайта в Интернете – The Pirate Bay и WikiLeaks – подверглись атаке отказ в обслуживании на прошлой неделе. Анонимусы подозревались в организации этого нападения, но глобальная группировка хакеров опровергла свою причастность к нападению на The Pirate Bay. Последние же на своей странице в Facebook сообщили, что имеют определённые предположения о тех, кто стоял за атакой, но считают, что это скорее всего действительно не Анонимусы. Подозрения, впрочем, не были совсем беспочвенными: The Pirate Bay в последнее время достаточно критически публично отзывались об акции Анонимусов против web-сайта Virgin Media. Между тем, известный своими публикациями секретной переписки сайт WikiLeaks на прошлой неделе подвергся шквальной DDoS-атаке, в результате которой новые публикации пришлось даже временно перенести на другой зеркальный сайт. Оба сайта уходили в офф-лайн на достаточно длительные периоды времени всю прошлую неделю, но, похоже, полностью восстановили свою работу на этой. До настоящего времени организатор атаки остаётся неизвестным и пока ещё никто не взял на себя ответственность за неё. Первый киберцарь США выходит на пенсию. Говард Шмидт (Howard Schmidt), часто называемый «первым киберцарём», назначенный в своё вермя на должность в Белом Доме президентом Обамой, объявил о своих планах уйти в отставку после чуть более двух лет работы в Белом Доме и более сорока лет в индустрии информационной безопасности. Шмидт пришёл в Белый Дом, имея за плечами богатейший опыт в области кибербезопасности, ранее работая, в частности, на должности директора по IT-безопасности (CISO) в Microsoft, а также на высших государственных должностях в сфере информационной безопасности при президенте Джордже Буше. Шмидт, который подаёт в отставку в конце этого месяца, является одним из идейных вдохновителей разработки национальной стратегии достоверного установления личности в киберпространстве (Trusted Identities in Cyberspace) – инициативы, которая направлена на внедрение альтернативных методов аутентификации для онлайн проверки пользователей. В частности, данная инициатива позволит пользователям применять сквозную однократную аутентификацию при использовании различных сервисов в сети Интернете. Считается, что разрабатываемый механизм будет более безопасным, чем большинство нынешних технологий аутентификации. [hr]

  • 23 Мая 2012 » Hack the Lab от Stonesoft
    Компания Stonesoft уже не первый год проводит мероприятие под названием "Hack the Lab", в рамках которого участникам предлагается ближе познакомиться с миром хака, взлома и проникновения. В очередном Hack the Lab, проводившемся на прошлой неделе в Хельсинки, в числе других представителей официальной (СМИ) и неофициальной (блоггеры) прессы довелось принять участие и мне. Первый день двухдневного тренинга начался с общего введения в проблематику хакерства, после чего мы приступили непосредственно к выполнению заданий. В тестовой лаборатории был сымитирован сегмент сети некоей компании, занимающейся приготовлением и доставкой бургеров. Мы же, играя роль хакеров, находились как бы в сети Интернет и знали только адрес публичного web-сервера. Нашей задачей было добыть секретный рецепт бургера, проникнув во внутреннюю сеть компании. Быть может, более продвинутым коллегам было не так интересно, но мне очень понравилось сканировать порты, выявлять версии используемого программного обеспечения, применять к ним эксплойты и получать доступ к самым различным ресурсам - от базы данных всех кредитных карточек до рабочих станций администраторов сети. Основное, чему учишься, выполняя взломы под чутким руководством финских коллег, это то что: защита должна быть эшелонированной, так как уязвимость, например, в публичном web-сервере позволяет уже от его имени пробраться глубже внутрь корпоративной сети, где средства защиты в отличие от периметра применяются всё же далеко не всеми. защита обязательно должа включать в себя непрерывный мониторинг событий информационной безопасности, так как любая аномалия в сети - это хороший повод проверить текущее состояние дел и, возможно, успеть предотвратить проникновение. ну, и наконец, идеального программного обеспечения не бывает: ломали мы самые разные системы, пусть даже и умышленно непропатченные для облегчения нашей работы. Не то чтобы это были вновь открываемые истины, но в ходе Hack the Lab знакомишься с ними как то особенно тесно. Кстати, все наши взломы и проникновения в режиме реального времени отображались на большом экране, куда было выведено окно логов StoneGate IPS, настроенной на работу в режиме детектирования. Во второй день нас ждал подробный рассказ о динамических техниках обхода (AET - advanced evasion techniques), с помощью которых злоумышленник может обойти системы предотвращения вторжения и атаковать уязвимый сервер или рабочую станцию внутри сети. Применение AET было нам наглядно продемонстрировано только на примере оборудования от McAfee, но лишь по причине ограниченности времени - по словам специалистов Stonesoft, продукты всех ведущих разработчиков пропускают атаки с применением AET. Кроме того, из-за особенностей самих техник, внедрение "противоядия" от них требует очень серьёзных переработок в ядре самой системы предотвращения вторжения, что, естественно, не может быть выполнено быстро. Именно поэтому, отдельные вендоры предпочитаю просто не обращать внимание на проблему AET и делать вид, что ничего не происходит, используя знаменитую защиту Чубаки: Tема AET, вообще, очень интересна, хотя и не так проста для понимания. В одном из следующих постов постараюсь к ней обязательно вернуться. В заключении хочу ещё раз поблагодарить коллег из Stonesoft за приглашение! Кстати, вот впечатления ещё одного участника - Евгения Царёва. Изображение: http://3.bp.blogspot.com/_WwuuFlhlZSg/TONscXO1XgI/AAAAAAAAAM8/EfLEorEhAe4/s1600/chewbacca_defense.jpg

  • 16 Мая 2012 » Сертифицированные межсетевые экраны (часть 3)
    Продолжаем обзор сертифицированных межсетевых экранов (все части). Сегодня на очереди экзотический ФПСУ-IP, бессчётные Cisco, малоактуальные Proventia, Z-2 и Microsoft ISA Server 2006, а на закуску - ViPNet от Инфотекса. Следующий сертифицированный межсетевой экран в реестре ФСТЭК с актуальным сертификатом на серию – «ФПСУ-IP/Клиент», сертифицированный по классу МЭ5 сам по себе и по МЭ3 в связке с базовым МЭ «ФПСУ-IP». Разработка ООО “АМИКОН” – штука весьма специфическая. Судя по описанию на сайте - это целая экосистема с собственным крипто-шлюзом, крипто-ядром и даже USB-ключом для аутентификации. Заявлено внедрение более 15 000 экземпляров в защищённых информационных системах Банка России, Сбербанка РФ, ОАО ЛУКОЙЛ, АКБ «Альфа Банк» и в ряда других организаций. Партнёрской сети у АМИКОНа замечено не было, продажи, видимо, идут напрямую, так что особо про продукт сказать нечего – ареал его обитания как-то не очень пересекается с моим. Отмечу лишь, что в одном из вариантов исполнения «ФПСУ-IP» используется “собственная 32-разрядная DOS-подобная ОС”, а интерфейс вызывает приятные ностальгические воспоминания о студенческих годах и моих первых шагах в программировании: Тем не менее, продукт развивается, в декабре даже новая версия вышла. Кстати, в реестре ФСТЭК сертификат №1091 на сам «ФПСУ-IP» значится как просроченный, но на сайте разработчика висит уже его обновлённый вариант. Далее по списку опять сертифицированный межсетевой экран от Cisco. Модуль Cisco FWSM для коммутаторов Cisco Catalyst 6500 и маршрутизаторов Cisco 7600 сертифицирован серией по 4 классу для МЭ и на соответствие ТУ. Не являюсь специалистом Cisco, но вроде бы модуль жив и продаётся. А чтобы уже закончить с решениями от Cisco, вместе с этим модулем внёс в таблицу все остальные маршрутизаторы и коммутаторы Cisco, сертифицированные серией как межсетевые экраны: Cisco 1800, Cisco 2800, Cisco 3800, Cisco 7200, Cisco 7600, Cisco 3750, Cisco 1841, Cisco 2811, Cisco 6509, Cisco 3825, Cisco 2900, Cisco 3900, Cisco 3925E и Cisco 881. К слову, видно, что на некоторые модели сертификаты продлевались, а на некоторые (не попавшие в таблицу) – нет. Для конкурентов, размышляющих над целесообразностью сертификации своих моделей – отличная информация к размышлению, ну а мы движемся дальше. Говоря о сертифицированных межсетевых экранах, нельзя не упомянуть Proventia Server и Proventia Desktop, сертификаты на которые, полученные в своё время ЗАО НИП «Информзащита» продолжают действовать. Популярное некогда решение от компании ISS после покупки последней компанией IBM, судя по всему, переживает не самые лучшие времена, так что возьму на себя смелость поставить под сомнение актуальность этих 1000 и 300 сертифицированных экземпляров. На Proventia, кстати, есть и более новые сертификаты, но в них уже не прописан класс МЭ. Следующий сертифицированный межсетевой экран в очередной раз демонстрирует сложности установления актуальности отечественных разработок. Творение Инфосистем Джет - межсетевой экран «Z-2» - имеет действующий сертификат. Некоторые компании до сих пор его предлагают на своих сайтах и даже приглашают на курсы, но продукт, видимо, снят с продаж, хотя никаких анонсов, как это обычно бывает, об этом не было. На мысль о неактуальность наводят наличие лишь очень старых описаний и новостей. Полагаю, смысла включать Z-2 в таблицу нет. Точно также пропустим и сертифицированный межсетевой экран Microsoft ISA Server 2006 SE. Его вроде бы ещё можно купить, но будет ли кто-то это добровольно делать? Завершим же сегодняшнюю часть обзора, не в обиду ранее упомянутым компаниям будет сказано, одним из действительно серьёзных отечественных игроков рынка сертифицированных межсетевых экранов. Компания Инфотекс не первый год вполне себе успешно поставляет продукты семейства ViPNet. Актуальные сертификаты на межсетевые экраны есть для ViPNet CUSTOM 3.1, ViPNet Coordinator HW и ViPNet Office 2.2. ViPNet CUSTOM – это целое семейство решений и без анализа задания по безопасности судить о сертифицированном функционале достаточно сложно, но, по идее, за межсетевое экранирование отвечают вот эти компоненты: ViPNet Coordinator (Windows) – программный сервер защищенной сети ViPNet, устанавливаемый на ОС Windows 2000/XP/Vista/7/Server 2003/Server 2008 (32 бит) и ОС Windows Vista/7/Server 2008/Server 2008 R2 (64 бит). ViPNet Coordinator (Linux) – полнофункциональный программный сервер защищенной сети ViPNet, устанавливаемый на ОС Linux с ядрами 2.4.2/31 -2.6.2/32 (дистрибутивы RedHat, Suse и др.) ViPNet Client (Клиент) – программный комплекс для ОС Windows 2000/XP/Vista/7/Server 2003/Server 2008 (32 бит) и ОС Windows Vista/7/Server 2008/Server 2008 R2 (64 бит), выполняющий на рабочем месте пользователя или сервере с прикладным ПО функции VPN-клиента, персонального экрана, клиента защищённой почтовой системы, а также криптопровайдера для прикладных программ, использующих функции подписи и шифрования. ViPNet Coordinator HW – это аппаратный криптошлюз и межсетевой экран, поставляемый в модификациях HW-VPNM, HW100, HW1000 и HW2000 (последний вариант, правда, сертификата ФСТЭК по каким-то причинам не имеет). По сути своей все ViPNet Coordinator HW – это аппаратные платформы с залитым дистрибутивом Linux и программным обеспечением ViPNet Coordinator Linux. Данные «железные» варианты исполнения ViPNet Coordinator появились сравнительно недавно как ответ на продуктовую линейку АПКШ «Континент» извечного конкурента – «Кода Безопасности» (ГК «Информзащита»), имеющего в своём портфеле исключительно аппаратные криптошлюзы. Наконец, ViPNet Office – это программный межсетевой экран, предназначенный для небольших и средних организаций. Вот только его текущая версия 3.1 сертификата ФСТЭК пока не имеет (только ФСБ) и как сертифицированный межсетевой экран использоваться не может, а версия 2.2 имеет сертификат ФСТЭК, но не сертифицирована в ФСБ. В общем, чехарда с версиями и сертификатами наводит на мысль о сомнительной актуальности этого решения как сертифицированного межсетевого экрана. Говоря в целом, нужно отметить, что с использованием продуктов VipNet можно комплексно защитить произвольное число локальных сетей и рабочих станций, но, судя по личному опыту настройки и известным мне сравнительным анализам, решение от Инфотекс имеет определённые неудобства эксплуатационного характера. Тем не менее, ViPNet прочно «засел» в некоторых рыночных нишах (РЖД, ТФОМС, Сбербанк), косвенным доказательством чему, например, является их прямое упоминание на этой вот Схеме голосового набора: Все сертифицированные межсетевые экраны из этого и предыдущих обзоров уже в таблице. Продолжение следует…

  • 15 Мая 2012 » (Перевод) Обзор событий информационной безопасности от Fortinet (19/2012)
    Новая неделя и новый обзор от специалистов Fortinet, посвящённый основным событиям информационной безопасности. Обновления, опять обновления и, ну надо же, патчи! Завершившаяся 19 неделя года 7-11 мая ознаменовалась серьёзными обновлениями, выпущенными крупными игроками рынка. Теперь наиболее распространённые операционные системы, web-браузеры и приложения стали чуть более безопасными. Представляем основные новости информационной безопасности за неделю. Три критических обновления во «вторник патчей». В своём регулярном вторничном обновлении по безопасности компания Microsoft представила в общей сложности семь бюллетеней, три из которых получили рейтинг «критический». Всего же было исправлено 23 уязвимости в Microsoft Windows, Office, Silverlight и .NET Framework. В своём блоге Microsoft акцентирует внимание на установке критического обновления MS12-034 для исправления 10 уязвимостей в Office, Windows, .Net Framework и Silverlight. Данные уязвимости подвергали пользователей опасности быть атакованными при открытии заражённого документа или посещении заражённого web-сайта, в которых используются внедрённые файлы шрифтов TrueType. Кроме того, Редмонд рекомендует пользователям повысить приоритет установки патча, исправляющего другую уязвимость в Microsoft Word, также считающуюся критической. Данная уязвимость позволяет хакеру удаленно выполнить вредоносный код, когда пользователь открывает специально подготовленный файл RTF, доставленный ему, например, по электронной почте. Побудить пользователя к открытию файла злоумышленник может при помощи какого-либо метода социальной инженерии. Сайт Amnesty International заражал трояном Ghost RAT. На прошлой неделе сайт организации по борьбе за права человека Amnesty International стал жертвой хакеров, которые внедрили вредоносное программное обеспечение, заражавшее ничего не подозревающих посетителей сайта троянской программой Gh0st RAT. Для заражения хакеры использовали известную уязвимость Java. По словам исследователей из Websense, обнаруживших данную атаку, в код сайта Amnesty International был внедрён Java-скрипт, загружавший Gh0st RAT на «непропатченные» Windows-машины посетителей web-сайта. В случае успешной загрузки и установки троян позволял похищать финансовую, личную и другую конфиденциальную информацию с компьютера жертвы, включая данные учётных записей и пароли к ним. В настоящее время вредоносное программное обеспечение с сайта Amnesty International удалено полностью. Троянец Gh0st RAT, впервые обнаруженный в прошлом году, относится к так называемым Advanced persistent threat (APT), угрозам, включающим в себя многочисленные сложные методы атак. Считается, что Gh0st RAT был создан по инициативе китайских хакеров, известных в частности получившей название "Nitro" атакой на энергетические компании в 2011 году. Adobe пересматривает подход к платам за обновления. Хорошая новость заключается в том, что компания Adobe выпустила на прошлой неделе крупное обновление безопасности, закрывающее, среди прочего, уязвимость в Photoshop 12 (Creative Suite 5) как для Windows, так и для Mac платформ. Проблема же заключалась в том, что пользователям пришлось бы заплатить за это обновление. Описываемая уязвимость возникает при обработке TIFF-изображений и в случае успешной атаки предоставляет злоумышленникам возможность удалённого выполнения вредоносного кода для получения доступа к сетевым ресурсам с правами самого пользователя, открывшего заражённый TIFF-файл. Однако, вместо разработки отдельного патча, компания Adobe сообщила, что исправление будет включено в обновление программного обеспечения до последней платной версии Photoshop CS6. Данное заявление вызвало резко негативную реакцию со стороны пользователей, недовольных тем, что их вынуждают платить за ошибки в программном обеспечении, совершённые самой Adobe, поэтому идя навстречу пожеланиям Adobe сообщила всё же в итоге, что сейчас готовит к выпуску бесплатный патч. Apple выпускает обновления системы безопасности. На прошлой неделе компания Apple выпустила обновление, исправляющее четыре уязвимости в web-браузере Safari и блокирующее запуск старых уязвимых версий проигрывателя Adobe Flash Player. Обновление относится к Safari 5.1.7 для Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X v10.7.4 Lion Server, OS X v10.7.4 Lion, Windows 7, Vista, XP SP2 или более поздней версии. Помимо прочего, последнее обновление от Apple предотвращает доступ к Safari проигрывателя Adobe Flash Player 10.1.102.64 и более ранних версий, так как Adobe уже выпустила Flash Player 11 для Mac. В дополнение к предотвращению запуска старых версий Flash Player в браузере Safari, обновление исправляет четыре уязвимости в WebKit, движке рендеринга с открытым исходным кодом, на базе которого построены и Safari и Google Chrome. Данные уязвимости делали возможными атаки межсайтового скриптинга и вызывали ошибки при работе с оперативной памятью. Одна из уязвимостей, исправленных обновлением, как сообщает Computerworld, была выявлена участником конкурса Pwnium, организованном Google в рамках конференции CanSecWest в марте этого года. Победитель получил денежный приз в $60,000 за успешное использование уязвимости в браузере Chrome. U.S. Computer Emergency Readiness Team предупреждает, что несвоевременная установка обновления может привести к тому, что злоу

  • 11 Мая 2012 » Сертифицированные межсетевые экраны (часть 2)
    В прошлом обзоре сертифицированных межсетевых экранов (напомню, что отбираем только присутствующие в реестре ФСТЭК изделия, сертифицированные серией или крупной партией по требованиям соответствующего руководящего документа ФСТЭК) мы остановились на продукте «ИВК Кольчуга». Итак, судя по описанию на сайте, ИВК Кольчуга представляет собой «программный комплекс, управляемый специально разработанной операционной системой на базе дистрибутива Linux». На практике в моём понимании это обозначает примерно следующее: взяли дистрибутив Linux, накатили нужные пакеты и сертифицировали. Что-то подобное сделал и АльтЭль, только там сразу ещё и аппаратная платформа поставляется. Согласно записям в реестре, ИВК Кольчуга была сертифицирована в 2005 году в двух вариантах: обычном и «ИВК Кольчуга-К». Не знаю как тогда, а сегодня эти варианты предназначены для работы с гостайной и для обработки конфиденциальной информации соответственно. Каждого варианта было сертифицировано по 500 экземпляров (читай – дисков), но уже в 2006 то ли закончились сертифицированные диски, то ли потребовалась сертификация по НДВ (т.е. на отсутствие недекларированных возможностей), но для ИВК Кольчуга был получен очередной сертификат ещё на 500 экземпляров и уже с НДВ. Следующая сертификация была завершена только в августе 2011 года, но теперь уже сертифицирована была серия. В целом, если посчитать число месяцев (с ноября 2005 по август 2011) и число сертифицированных экземпляров (500+500+500), то самый оптимистичный уровень продаж получается около 20 штук в месяц, что, конечно, совсем мало. Не удивительно, что до написания этого обзора про ИВК Кольчуга я вообще не припомню, чтобы слышал. Далее в реестре следует великое множество просроченных уже сертификатов на 1-2 (реже - больше) устройств Cisco PIX на МЭ3/МЭ4 но, естественно, без НДВ. Видимо, на этот период (2005-2006 гг) как раз приходится начало экспансии компании Cisco в госучреждения. Почему «естественно» без НДВ? Дело вот в чём. Сертификация по НДВ означает выполнение требований другого руководящего документа ФСТЭК: Руководящий документ. Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей. Четыре уровня контроля (от низшего четвёртого до высшего первого), придуманные ещё в 1999 году, призваны с разной степенью уверенности давать гарантию отсутствия в программном обеспечении (в том числе в прошивках аппаратных устройств) всяческих закладок, чёрных ходов и пр. Такие проверки подразумевают открытие исходных кодов в том или ином объёме. Вот здесь-то и кроется важное конкурентное преимущество российских разработок: крупные мировые компании с большой неохотой идут на предоставление своего исходного кода нашим с вами коллегам из испытательных лабораторий, опасаясь за свою коммерческую тайну и ноу-хау. Отечественным же вендорам, часто вчистую сдувающим разрабатывающим свои продукты на основе открытых (open-source) операционных систем и прикладных пакетов, скрывать особо нечего. Их «ноу-хау» часто заключается в лоббистских возможностях и коррупционных схемах, а вовсе не в уникальных технологиях. Ну, да мы немного отвлеклись. Следующий сертифицированный межсетевой экран, подпадающий под заданные критерии – Cisco PIX 501. Сертификат №1247/1, выданный на их серию заявителю ЗАО “АМТ-Груп”, будет действовать ещё до июля 2013 года, да вот только все PIX’ы давно уже сняты с продаж и поддержки, так что введём ещё один критерий – «немёртвость» сертифицированного межсетевого экрана. Хотя, к сожалению, не всегда сразу можно понять реальную судьбу продукта, особенного отечественного. Некоторые вендоры до последнего не убирают описание с сайта в надежде, видимо, кому-нибудь да продать залежалый товар. Но в случае с Cisco всё проще: снят с продаж обычный PIX, так что и сертифицированного уже не купить, поэтому пропускаем Cisco PIX 506, 515, 525, 535 и добираемся до Cisco ASA. Ещё в далёком 2007 году всё та же компания АМТ-Груп сертифицировала как серии три межсетевых экрана Cisco: ASA-5510, 5520 и 5540 по классу МЭ4 и на соответствие ТУ. Строго говоря, МЭ4 – это потолок, если не раскрывать исходные коды, но, судя по реестру, иногда поставщикам Cisco удавалось находить какие-то компромиссы и получать сертификаты без НДВ, но «по 3 классу для МЭ при ограничениях» или «по 3 классу в соответствии с РД МЭ при ограничениях в ТУ». Вообще, Cisco ASA, похоже, рекордсмен по числу сертификатов. Многие сертифицировали «под проект» собственные «АСЫ» либо не желая платить «монополисту» АМТ, либо в случае потребности в других, менее ходовых, версиях, например, 5505 или 5580. Чуть позже (в 2009-2010) АМТ сертифицировала и другие ASA, став, похоже, окончательным монополистом. Только у Kraftway есть ещё серийный сертификат на 5510, а всего по состоянию на сегодня действуют 7 сертификатов на серии Cisco ASA. Все они представлены в таблице. Продолжение следует…

  • 10 Мая 2012 » (Перевод) Обзор событий информационной безопасности от Fortinet (18/2012)
    Короткая российская рабочая неделя, заканчивающаяся третьей подряд рабочей субботой, вносит хаос и сумятицу в ряды офисных сотрудников. Попробуем настроиться на рабочий лад чтением очередного обзора от специалистов Fortinet. Тон событиям в области информационной безопасности на этой 18й неделе года задавали множественные уязвимости. Так, компания Adobe исправила критическую ошибку в Flash, а эксперты по безопасности предупредили об обнаруженных «дырах» в PHP. Intel между тем, похоже наконец-то решила, что делать с ранее приобретённой McAfee. Представляем очередной обзор событий информационной безопасности. Adobe выпускает критический патч. Компания Adobe на прошлой неделе выпустила исправление для уязвимости в Flash, которая играла ключевую роль в атаках на Windows-версию Flash, используемую в web-браузере Interner Explorer. В целом, последние обновления безопасности Adobe для платформ Windows, Mac, Linux и Android направлены на исправление уязвимостей, позволявших хакерам удалённо осуществлять DOS-атаки (атаки вида «отказ в обслуживании»), приводившие к сбоям в системах пользователей и позволявшие получать доступ к удалённому управлению компьютерами пользователей для последующей кражи личных данных и информации. Согласно последним распространённым отчётам данная уязвимость активно используется при адресных атаках, когда пользователя обманом с применением методов социальной инженерии заставляют запускать заражённые файлы, присланные по электронной почте. Ошибка в PHP открывает путь для атак. На прошлой неделе U.S. Computer Emergency Response Team предупредила о критической уязвимости в PHP, позволяющей удалённо выполнить вредоносный код, что может рассматриваться как возможный инструмент для проведения атак на web-сайты, использующие уязвимую версию PHP. В частности, уязвимость возникает при обработке параметров строки запроса из PHP-файлов. Когда широко используемый для web-разработок язык сценариев PHP используется в связке с CGI, в исполняемый код передаются параметры строки запросов, которые из-за выявленной ошибки в PHP могут обрабатываться скриптом таким образом, что позволят злоумышленнику совершить удалённую атаку. В случае успешности атаки хакеры могут использовать брешь для получения финансовой или иной конфиденциальной информации, запуска сбоя системы, проведения атаки отказа в обслуживании или выполнения вредоносного кода с привилегиями web-сервера, что даст им возможность взять под свой контроль всю систему целиком. Команда, которая обнаружила ошибку, сообщила, что они ожидали выхода патча для PHP уже в течение нескольких месяцев и не сообщали об уязвимости широкой общественности. Тем не менее, по чьей-то случайности помеченная как «закрытая» ошибка в PHP была перенесена в категорию «публичных» и в конечном итоге была опубликована в Reddit. Google знала о сборе данных автомобилями Street View. Кто бы мог подумать? На прошлой неделе FCC опубликовала доклад, согласно которому Google действительно знала, что её автомобили, разъезжающие по улицам и фотографирующие местность для сервиса Street View, занимались съёмом данных с личных Wi-Fi-маршрутизаторов на протяжении добрых трёх лет до того, как это стало всем известно в апреле 2010 года. Первоначально, в 2007 году, выяснилось, что Google сканировала идентификаторы (SSID) и MAC-адреса, но впоследствии выяснилось, что собиралось больше информации: e-mail адреса и даже пароли. В ходе расследования FCC вскрылось, что один из инженеров Google обсуждал со старшим менеджером вопрос сбора личной информации пользователей из беспроводных сетей street-view-мобилями в период с мая 2007 по май 2010 года. Тем не менее, не доказано, что любопытство Google нарушало законодательство, а FCC пока не может предоставить достаточно доказательств того, что поисковый гигант незаконно использовал собранную информацию. Спустя почти два года Intel раскрывает свои планы относительно McAfee. Intel поделилась планами по встраиванию в свою продуктовую линейку решений компании McAfee, приобретённой ранее, как это впервые было объявлено летом 2010 года, за 7.6 миллиарда долларов. Основное направление интерграции согласно заявлению связано с облачными технологиями. В частности, Intel сообщила, что планирует интегрировать разработку McAfee для управления политиками в физических, виртуальных и облачных средах – ePolicy Orchestrator (ePO) – в собственные устройства обеспечения безопасности, оснащённые Intel Trusted Execution Technology (Intel TXT). Встроенные проверки и управление политиками Intel TXT также могут быть интегрированы с решением Management for Optimized Virtual Environments AntiVirus (MOVE AV), предлагающим набор стандартных защитных механизмов, включающих антивирус, а также средств повышения производительности и эффективности использования виртуальных рабочих станций и серверов. Кроме того, процессорный гигант заявил, что планирует использовать Cloud Security Platform (CSP) от McAfee в целях повышения безопасности при использовании мобильных устройств и центров обработки данных. Предлагаемый функционал защиты будет дополнять Deep Defender – совместная разработка Intel и McAfee, обеспечивающая на аппаратном уровне защиту с использованием встраиваемой в процессоры технологии виртуализации Intel. Deep Defender эффективен при обнаружении угроз, которые трудно выявить традиционными механизмами безопасности операционных систем. Android вновь стал мишенью для атак. Пользователи Android при посещении заражённого сайта могут стать жертвами атаки со стороны вредоносного программного обеспечения, самостоятельно скачивающегося в фоновом режиме. Новая атака, получившая название NotCompatible, реализуется с использованием встраивания IFRAME в заражённые сайты. Автоматически скачанное вредоносное программное обеспечение впоследствии устана

  • 04 Мая 2012 » Отличный сервис по рисованию анимированых gif
    Адрес: http://gifovina.ru/